关于 cookie ，session，token之间关系

cookie，session  和token 都是实现授权用户访问应用的方式，通过授权让我们可以通过认证，访问应用

作为测试人员，一般我们接触到 cookie 和session 都是测接口，需要鉴权的时候，，  现在一般都是用 token，要了解这个，我们可从简单的cookie 和session开始。

一 cookie 和session 由来

 既然是接口相关，那就离不开网络通讯协议，不管服务与服务之间接口调用，还是客户端 和服务器之间，我目前接触基本上都是http 协议的，

HTTP 是一种无状态的协议（对于事务处理没有记忆能力，每次客户端和服务端会话完成时，服务端不会保存任何会话信息）：那么我们完成用户实际业务，又需要一连串的接口调用，多个用户 在同一时间段，操作同样业务， 这是我们就是保持不同用户之前是独立的，那么服务器要保持同一用户的一连串接口标记为是该特定用户（客户端多次请求服务器，服务器要知道是哪个用户发请求），就是要保持这种会话状态 就需要cookie 和 session 技术来支持实现。

cookie 的特性

cookie 存储在客户端： cookie 是服务器发送到用户浏览器并保存在本地的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

　　cookie 不可跨域： 每个 cookie 都会绑定单一的域名，无法在别的域名下获取使用，一级域名和二级域名之间是允许共享使用的（靠的是 domain）。

 

session 是另一种记录服务器和客户端会话状态的机制

session 存储在服务器端，sessionId 会被存储到客户端的cookie 中

综合以上流程可知，SessionID 是连接 Cookie 和 Session 的一道桥梁，大部分系统也是根据此原理来验证用户登录状态的。

 关于cookie 和session 文章网上能搜很多，大致以下几点区别：

• 安全性： Session 比 Cookie 安全，Session 是存储在服务器端的，Cookie 是存储在客户端的。
• 存取值的类型不同：Cookie 只支持存字符串数据，想要设置其他类型的数据，需要将其转换成字符串，Session 可以存任意数据类型。
• 有效期不同： Cookie 可设置为长时间保持，比如我们经常使用的默认登录功能，Session 一般失效时间较短，客户端关闭（默认情况下）或者 Session 超时都会失效。
• 存储大小不同： 单个 Cookie 保存的数据不能超过 4K，Session 可存储数据远高于 Cookie，但是当访问量过多，会占用过多的服务器资源。

 

token ：令牌

访问资源接口（API）时所需要的资源凭证

　　　　简单 token 的组成： sign方式用较多

               uid(用户唯一的身份标识)、time(当前时间的时间戳)、

               sign（签名，token 的前几位以哈希算法压缩成的一定长度的十六进制字符串）

　　　　特点：服务端无状态化、可扩展性好，支持移动端设备，安全，支持跨程序调用

 

每一次请求都需要携带 token，需要把 token 放到 HTTP 的 Header 里

　　　　基于 token 的用户认证是一种服务端无状态的认证方式，服务端不用存放 token 数据。用解析 token 的计算时间换取 session 的存储空间，从而减轻服务器的压力，减少频繁的查询数据库

　　　　token 完全由应用管理，所以它可以避开同源策略

 

 

（刷新）Refresh Token：

　　　　refresh token 是专用于刷新 access token 的 token。如果没有 refresh token，也可以刷新 access token，但每次刷新都要用户输入登录用户名与密码，会很麻烦。有了 refresh token，可以减少这个麻烦，客户端直接用 refresh token 去更新 access token，无需用户进行额外的操作。

　　

 

 

 　　

• Access Token 的有效期比较短，当 Acesss Token 由于过期而失效时，使用 Refresh Token 就可以获取到新的 Token，如果 Refresh Token 也失效了，用户就只能重新登录了。
• Refresh Token 及过期时间是存储在服务器的数据库中，只有在申请新的 Acesss Token 时才会验证，不会对业务接口响应时间造成影响，也不需要向 Session 一样一直保持在内存中以应对大量的请求。

　　注意问题：　

 

　　　　如果你认为用数据库来存储 token 会导致查询时间太长，可以选择放在内存当中。比如 redis 很适合你对 token 查询的需求。

　　　　token 完全由应用管理，所以它可以避开同源策略

　　　　token 可以避免 CSRF 攻击(因为不需要 cookie 了)

　　　　移动端对 cookie 的支持不是很好，而 session 需要基于 cookie 实现，所以移动端常用的是 token

 

 

 

接下来说一下Token 和 Session 的区别 ： 

　　Session 是一种记录服务器和客户端会话状态的机制，使服务端有状态化，可以记录会话信息。而 Token 是令牌，访问资源接口（API）时所需要的资源凭证。Token 使服务端无状态化，不会存储会话信息。

　　Session 和 Token 并不矛盾，作为身份认证 Token 安全性比 Session 好，因为每一个请求都有签名还能防止监听以及重放攻击，而 Session 就必须依赖链路层来保障通讯安全了。如果你需要实现有状态的会话，仍然可以增加 Session 来在服务器端保存一些状态。

　　所谓 Session 认证只是简单的把 User 信息存储到 Session 里，因为 SessionID 的不可预测性，暂且认为是安全的。而 Token ，如果指的是 OAuth Token 或类似的机制的话，提供的是 认证 和 授权 ，认证是针对用户，授权是针对 App 。其目的是让某 App 有权利访问某用户的信息。这里的 Token 是唯一的。不可以转移到其它 App上，也不可以转到其它用户上。Session 只提供一种简单的认证，即只要有此 SessionID ，即认为有此 User 的全部权利。是需要严格保密的，这个数据应该只保存在站方，不应该共享给其它网站或者第三方 App。所以简单来说：如果你的用户数据可能需要和第三方共享，或者允许第三方调用 API 接口，用 Token 。如果永远只是自己的网站，自己的 App，用什么就无所谓了。